Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 132, views: 43.137 •

Een beveiligingsonderzoeker heeft een zero day-beveiligingsprobleem gevonden in versies 7 en 8 van Internet Explorer. De kwetsbaarheid wordt actief misbruikt, waardoor gebruikers van de browserversies gevaar lopen.

Beveiligingsonderzoeker Eric Romang kwam het beveiligingsprobleem op het spoor tijdens een onderzoek naar een groep internetcriminelen die ook achter de recente zero day in Java zat. In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

Romang plaatste een video waarin hij laat zien hoe een naar zijn zeggen volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden. Overigens is in het filmpje juist een waarschuwings-icoon te zien in de taakbalk dat aangeeft dat er updates zijn die nog geïnstalleerd moeten worden. Of ook andere Windows-versies dan XP kwetsbaar zijn, is nog onbekend. Internet Explorer 7 is niet beschikbaar voor Windows 7, maar versie 8 wel. De nieuwste, niet door dit probleem getroffen IE-versie is Internet Explorer 9.

De beheerders van de Metasploit-hackerstoolkit zullen de exploit maandag toevoegen. Daarmee lopen gebruikers van de twee browsers gevaar: het enige dat nodig is om besmet te worden, is naar een website surfen die de malware serveert, al dan niet bewust. Dit staat bekend als een 'drive-by download'.

De beveiligingsonderzoeker stelt dat de groep die de zero day misbruikte, niet blij was dat hij deze op het spoor kwam: twee dagen nadat Romang de bestanden van de server downloadde, waren deze verdwenen. Volgens Security.nl zat dezelfde groep in 2011 achter aanvallen op chemische bedrijven.

Reacties (132)

Reactiefilter:-11320114+174+25+31
De nieuwste, niet door dit probleem getroffen getroffen IE-versie is Internet Explorer 9.
Deze exploit is al een maand te koop in de hackerscene. Deze exploit ben ik nu aan het testen binnen een Windows 7 omgeving met IE 8/9. Mijn bevindingen zal ik in dit bericht plaatsen.

[Reactie gewijzigd door Unflux op 17 september 2012 12:04]

je bevindingen bedoel je denk ik ;) maar goed dit is waarom ik ie allang niet meer gebruik
*Ahum* verbindingen = bevindingen :P. Altijd leuk om te zien dat dit soort ontbrekende informatie gelijk word opgepakt door Tweakers.
Leuke reclame, dus nu iedereen die XP of ouder gebruikt over naar Win7? IE9 is niet te installeren op XP of ouder.... Hoewel het wel niet zo is verdenk ik dit soort berichten altijd dat ze ook een commerciele achtergrond hebben.
Overstappen op Chrome of FF is ook nog een optie natuurlijk...
Of Opera of Safari natuurlijk. Dat zijn ook prima browsers, dus als je er dan toch een opsomming van gaat maken...

[Reactie gewijzigd door mae-t.net op 17 september 2012 14:04]

Dan kom jij er ook nog een zooi tekort en ze doen geen van allen ActiveX. Als je daar van afhankelijk bent is het toch bijzonder vervelend.
Dan kom jij er ook nog een zooi tekort en ze doen geen van allen ActiveX. Als je daar van afhankelijk bent is het toch bijzonder vervelend.
... of gewoon Windows Vista of hoger met IE9 gebruiken. Best lastig, maar het gaat hier om een lek via Flash, wat echter alleen IE8- treft.
die Active-X is juist wat IE zo kwetsbaar maakt, daar moeten we dus zo snel mogenliijk vanaf.
Ik denk dat dat wel meevalt. XP is gewoon al 11 jaar oud en de actieve ontwikkeling houdt een keer op. Zo is het ook gegaan met windows 98, mac os-9, AIX 5.3 etc. Verder kunenn mensen altijd nog chrome of firefox installeren en gebruiken.
In een Enterprise omgeving is dat nog niet zo eenvoudig. Wij zitten hier nog altijd op XP (don't ask...) en zitten dus vast aan IE8. Het hele bedrijf ineens omgooien naar FF of Chrome is niet mogelijk omdat een aantal specifieke sites IE nodig hebben...

Ik hoop in ieder geval dat hier héél erg snel een patch voor gereleased wordt.
Hypermodern. Wij zitten nog met XP SP2 op IE7. En IE7 hebben we al een jaar, dus ik denk dat een upgrade voorlopig niet in het verschiet zit.
Volgens mij wordt IE8 en zeker Windows XP niet meer ondersteund door MS. Dus of daar heel snel een patch voor komt, betwijfel ik. Wij zitten ook op IE8 in een Windows 7 omgeving en IE9 uitrollen is ook niet zo gemakkelijk, maar ik denk toch dat je zelf wat móet doen als dit soort dingen vaker voorkomen. Je wil voor je veiligheid het liefst niet afhankelijk zijn van Microsoft om een oud product bij te werken.
MS support nog steeds winXP in vorm van 'extended support'
zie: Microsoft lifecycle tabel

extended support:
Extended Support is the second phase of the Support Lifecycle for Business & Developer products. The key differences between the Mainstream Support phase and Extended Support phase are that the “no-charge” support options are no longer available and that we no longer provide new non-security hotfixes.
bron

Dus zolang dit soort exploits in winXP en hun verplichte producten zitten, zullen ze hier patches voor moeten uitbrengen tot de extended support afloopt (08-04-2014).

correct me if i'm wrong...

[Reactie gewijzigd door Wallioo op 17 september 2012 13:53]

wikipedia: Extended Support until April 8, 2014 for Windows XP with Service Pack 3 and Windows XP x64 Edition with Service Pack 2
Helemaal doordat veel applicaties (en steeds meer trouwens) gebruik maken van een browser voor hun interface wordt omschakelen niet bepaald eenvoudiger voor bedrijven.

Zie zojuist dat hier dus ook IE8 draait, maar zie ook nog steeds IE7. En het zelf installeren van een browser is als het goed is wel afgeschrermd.
Je kunt voor je brakke intranet IE only apps toch gewoon IE blijven gebruiken? en voor de andere systemen gewoon een moderne browser?

Ik vind de mate waarin bedrijven vast blijven hangen aan verouderde software vaak aan nalatigheid grenzen (zeker bij bedrijven die met gevoelige informatie of systemen werken)
En dan moet je mensen, die helemaal niet zo bedrijvig zijn met computers, uit gaan leggen dat ze voor verschillende sites verschillende browsers moeten gebruiken, terwijl ze niet eens weten wat een browser is?
tja je kunt wel vinden van dat nalarigheid, maar soms kun je gewoon niet anders ivm gebruik van software waarvoor gewoonweg geen alternatieven zijn. en dan nog, in veel grote brijven kun je niet eens 'normaal' internetten, mensen worden gewoon geacht te werken. wat deden we toch voordat er internet was.....

[Reactie gewijzigd door SuperDre op 17 september 2012 14:37]

firefox met IEtab?
weten de gebruikers veel dat FF dan voor sommige sites de trident-engine gebruikt
firefox met IEtab?
Dat hangt ervan af. Als de fout in de Trident engine van IE 7 en 8 zit, dan is FF met IEtab net zo goed kwetsbaar, want IEtab maakt gebruik van die Trident engine.

[Reactie gewijzigd door pkoopmanpk op 17 september 2012 15:59]

Klopt, maar het is wel een redelijke oplossing voor die IE-only bedrijfs-applicaties
Voor de rest natuurlijk gewoon de normale engine gebruiken
Laat systeembeheer voor die ene applicatie een shortcut met IE zetten en de andere browser (K-Meleon, Opera, Iron, Chromium, ..) als standaardbrowser instellen. Een browser die vaak met updates komt is overigens daar niet zo'n goede keus omdat je eerst moet testen voor je kunt uitrollen.
en omdat de ontwikkeling stopt wordt het ook direct niet meer gebruikt?

in theorie misschien wel, maar in praktijk nagenoeg niet, tot begin dit jaar deed de ICT afdeling waar ik zat ook nog het beheer voor een ander bedrijf, welke voor aansturing voor wat zaag machines nog Windows 98 gebruikte.

de computers konden wel vervangen worden, maar dan hadden de zaag machines ook vervangen moeten worden want die kon je niet met nieuwere systemen aansturen.

zolang die systemen nog goed werken worden die echt niet vervangen, het ging hier om 5 machines (als in zaag machines) die elk enkele duizenden euro's kosten.
hoeveel precies weet ik niet, maar voor een bedrijf dat financieel al wat problemen had, was vervangen gewoon niet mogelijk.
en de zaag machines niet vervangen, hield dus ook per definitie in, de Pentium (een) Computers niet vervangen.

dat bedrijf is nu failliet, maar dat komt omdat ze geen klanten meer hadden, de PC's werkte op zich prima, en gaven zelfs minder problemen dat de server met Windows 2003.


daarnaast, werkt het hele bedrijf waar ik voor weg zelf nog geheel op Windows XP (servers niet meegerekend dan, die zijn begin dit jaar vervangen (ESXi met 2008 R2 voor iemand vraagt)).
en iets anders kan ook niet op deze machines, want het betreft allemaal HP Compaq machines, o.a. D530, en vervangen van de machines mag niet want het ICT budget nagenoeg weg.
als de systemen echt niet meer werken mogen we ze vervangen, maar op dit moment zijn er nagenoeg nooit problemen mee.
D530(c) zijn dan ook superdegelijke apparaten, ik heb er zelf 2 staan in dagelijks gebruik(1tje voor office dingen en voor bezoek om op te internetten, eentje voor downloaden, FTPclient en branden/rippen, goed de CPU's zijn vervangen voor snellere P4's, nieuwe HDD's en losse videokaarten er in gezet en er 2 gig ram ingedaan, maar ik zie geen reden om ze te vervangen, ze zijn muisstil, geven nooit geen problemen en het zijn geen lelijke kasten, ook al zijn ze 5 to 8 jaar oud.
Samenvatting: 'Het zijn superdegelijke apparaten, ik zie geen reden om ze te vervangen!'. Maar je hebt wel alle componenten behalve de CD/DVD drive vervangen? :P
En het mainboard, de voeding, de rest is uitbreiding natuurlijk. De HDD's in die dingen zaten 40GB 5400 IDE maxtors, genoeg systeembeheermagazijntjes waar je die dingen uitgebouwd met hele kratten ziet liggen. ;) Ik neem ook aan dat ze bij het bedrijf van foxofinfinity niet meer de originele CRToeters erbij gebruiken.

Er is ook nog een compacte desktop versie en die zag ik nog bij ministeries als standaardmachine in gebruik in 2009. Bedrijfsmatig zou ik ze wel uit gaan faseren samen met XP.
en dan nog, met oude computers/os werken binnen een bedrijf is helemaal geen probleem zolang je deze maar goed afschermd van de buitenwereld. op die zaagpc's is bv een internetverbinding ook helemaal niet nodig..
Hartstikke leuk natuurlijk voor de computers die naar windows 7 -kunnen-. Mijn meest gebruikte desktop en laptop hebben natuurlijk allebei Windows 7 (en Linux standaard... plus allerlei andere OS-sen voor test/compatibility maar die gebruik ik niet dagelijks)

Maar het oude laptopje naast mijn bed waarop ik 's avonds een filmpje kijk of web-browse of een mailtje 'tiep' draait nog altijd XP... en die heeft echt het interne geheugen en grafische kracht niet voor een Windows 7 upgrade. Die arme single-core Turion die er in zit zal het ook knap lastig krijgen... En al die netbookjes? Prima bruikbare machines, je moet er alleen wel een ouder OS op kunnen blijven draaien. De laatste Ubuntu met alle toeters (Unity) en bellen (Compiz) zal ik er ook niet op zetten... maar in Linux heb je tenminste nog de mogelijkheid zelf een recente kernel/core libs/crypto engine te compileren als er een exploit gevonden wordt. Met een Windows die EOL is heb je helemaal niets.

Natuurlijk zou het van de zotte zijn dat Microsoft nog nieuwe features gaat toevoegen aan een meer dan tien jaar oud product. Maar het zou eigenlijk verplicht moeten zijn dat ze hun core libs/kernel in geval van exploits blijven updaten of hun systeem zo opzetten dat, dat deel 'meegroeit' met hun meest recente besturingssystemen, zodat ze in een keer voor alle versies een bugfix kunnen maken (eigenlijk zoals Linux; 'One kernel to rule them all'). Een besturingssysteem is geen 'commodity product'. het is essentieel voor het bruikbaar zijn van je hardware. Kom bij mij niet langs met het verhaal dat je oude hardware dan maar moet weggooien. Zeker in een periode waarin grondstoffen schaarser worden en computertechnologie een punt heeft bereikt waarop de meeste 'alledaagse' computerhandelingen geen snellere hardware noodzakelijk maken is zoiets niet langer vol te houden.
De laatste Ubuntu met alle toeters (Unity) en bellen (Compiz) zal ik er ook niet op zetten... maar in Linux heb je tenminste nog de mogelijkheid zelf een recente kernel/core libs/crypto engine te compileren als er een exploit gevonden wordt. Met een Windows die EOL is heb je helemaal niets.
Je kunt natuurlijk ook Lubuntu erop zetten, die is een stuk lichter (en juist gemaakt voor dergelijke hardware).

Je kunt natuurlijk ook een andere browser installeren op je laptopje thuis.
[...]

Je kunt natuurlijk ook Lubuntu erop zetten, die is een stuk lichter (en juist gemaakt voor dergelijke hardware).

Je kunt natuurlijk ook een andere browser installeren op je laptopje thuis.
Tja, of Windows 7 Starter; heeft 'slechts' 512MB RAM nodig ipv 1GB.
Je hoeft je oude hardware ook niet weg te gooien, en dat heeft nooit gehoeven. De software die er nu op staat doet het er op, en als je die blijft gebruiken doet die het over tien jaar nog, tenzij de hardware het begeeft.

Als je nieuwe software wil draaien, moet je wel een recentere machine nemen, maar dat was 20 jaar geleden ook al zo.
Probleem zijn de steeds weer opduikende beveilingsgaten. Voor een systeem dat niet aan het internet hangt is het geen probleem. Dat komt veel voor bij PC's die worden gebruikt voor het aansturen van machines, ook voor oude dos-games geld dat bijvoorbeeld.

Als je echter een printer gebruikt, dan houdt het een keer op omdat de inkt- of tonercartridges niet meer te koop zijn (en voordien worden ze al onbetaalbaar).

Hangt je systeem aan het internet of wissel je bestanden uit dan wordt het een ander geval, al denk ik dat virussen voor msdos nu toch wel zeldzaam worden.
Euhmmm wil niet lullig doen... Maar beschik al een tijdje over IE 10...
Zit standaard in Windows 8 weetje...

niet dat je daar blij van wordt :o
Windows 8 is officieel nog niet uit. Dan heb je de release preview te pakken. Laatste daarvan is 6.2.8400.0. Als je een technet of msdn account hebt, dan kun je versie 6.2.9200.0 ophalen.
De TechNet is de officiele versie dus hij is wel uit maar nog niet voor iedereen :)
Windows 8 is al gewoon officieel uit en is ook zonder problemen al legaal te verkrijgen.

Slim.nl bied instellingen bijvoorbeeld deze al aan. Voor medewerkers is deze op het moment nog niet te bestellen. Dit betreft gewoon de normale release en niet de preview.

Wij hebben deze volledige versie inmiddels ook al geleverd gekregen.

Voor consumenten is de windows 8 versie pas volgende maand beschikbaar.
Windows 8 is al gewoon officieel uit en is ook zonder problemen al legaal te verkrijgen.
Slim.nl bied instellingen bijvoorbeeld deze al aan.
Op Slim.nl is ie nog niet te verkrijgen hoor. Je mag het tegendeel bewijzen middels een link.
Windows 8 is sowieso nog niet via normale wegen te koop. Het komt pas eind oktober op de markt.
Windows 8 (RTM) is legaal (download inclusief IE10 final) verkrijgbaar via Technet en MSDN vanaf 15 augustus.
Ja, dat weet ik ook wel. Een consument kan echter nog niet aan Windows 8 komen, terwijl dat wel gesuggereerd wordt.
Ik trouwens ook niet in waarom ik mijn hele OS zou moeten opwaarderen om zo maar de nieuwste IE te kunnen krijgen. Een alternatieve browser kiezen lijkt mee een betere optie om de in het artikel genoemde problemen te voorkomen.
Sorry maar ik heb echt al Windows 8 Enterprise (x86 & x64) via slim.nl. Op de site zelf kan ik het niet vinden maar via slbdiensten.nl is het al wel te krijgen. Enkel een mail sturen is genoeg.

Ik heb zelfs al de KMS key voor Windows 2012 RTM gekregen.

Ik ben al hevig aan het testen, wij gaan het denk ik gebruiken voor onze activboarden.
Ik kan deze niet vinden op slim.nl.... ;(
jep gewoon vis MSDN... vanaf 15 augustus :)
Met name veel (grote) bedrijven werken nog met IE7. Die heeft voornamelijk te maken met eigen programma's die daar ooit voor geschreven zijn en niet in alle browsers goed werken, juist omdat MS zich niet aan standaarden hield in het verleden.
Ik vraag me altijd af welke debielen nog werken met Firefox...

Nee, Firefox gebruikers zijn niet debiel maar aan de andere kant vind ik het ook een beetje lomp om alle IE gebruikers debiel te noemen. De recente IE versies zijn eigenlijk best aardig (IE10 onder Windows 8 voelt behoorlijk soepel). Dat je het er niet mee eens bent dat mensen IE gebruiken, ok. Ik zie niet in waarom mensen Firefox gebruiken. Maar om ze debiel te noemen?

@Hieronder: Mijn statement was een aangepaste versie van jou eigen statement en je voelt je blijkbaar meteen aangevallen. Missie geslaagd zou ik zeggen.

[Reactie gewijzigd door Neko Koneko op 18 september 2012 11:02]

Opera bijvoorbeeld. In mijn ervaring toch een van de prettigste en veiligste browsers en niet op de markt gezet door een dataminingbedrijf.
Opera draait niet lekker. Traag, stroperig en een stuk minder flexibel dan Firefox qua add-ons. Bovendien vind ik het optisch ook geen prettige browser om in te werken.
In dat laatste moet ik je gelijk geven; vooral ergens in versie 9.x ging het optisch helemaal fout. Ik gebruik dan ook een oude skin en een minimum aan flink gecustomizede werkbalken.

Verreweg de stroperigste browser vind ik tot nu toe IE8. Opera reageert in mijn ogen altijd vlot. Met 150 tabbladen open durf ik Firefox en vooral Chrome en IE niet eens te proberen.
Waarom zou ik 150 tabbladen open willen gooien ? Heb er nog nooit meer dan 15 open gehad.

Op zich hoeft dat met 8 GB RAM geen probleem te zijn ..
Met 2GB RAM past het al ruim; van Firefox weet ik het niet, maar IE en Chrome zijn dan al lang krakend tot stilstand gekomen.

En waarom je het wilt doen? Kan meerdere redenen hebben, in dit geval presenteer ik het als benchmark. Als Opera zelfs dan nog absoluut niet traag is, dan zou ik de omstandigheden waaronder het wel traag is niet eens durven bedenken.
MS-bashing is tegenwoordig gewoon weer heel erg l33t ;)

Ik gebruik zelf IE ook niet meer omdat ik er niet meer over tevreden ben qua gebruiksvriendelijkheid, maar FF en Chrome zijn -wat mij betreft- zeker niet beter. Momenteel gebruik ik nog Chrome maar ik denk dat ik weer overstap naar Opera.
Nope, MS-Bashing was vroeger heel erg 1337...

Nu is MS-Bashing juist heel casual..

Zelf op nujij.nl praten ze allemaal hoe beroerd alles van Microsoft is. ;)
Op zich ook wel te verwachten daar Microsoft zich nooit aan geldende HTML-specificaties heeft gehouden in het verleden.
Microsoft waagt zich niet snel aan zaken die nog niet standaard zijn. En HTML5 en CSS3 zijn nog geen standaard. Op zich is het ook wel goed voor het bedrijfsleven als er een browser is die stabiel is qua features. Als je in een interne web applicatie investeerd wil je zeker weten dat hij over 5 jaar nog werkt. Voor thuis en voor mensen die altijd het nieuwste willen hebben is het idd niets.

@blauweKip: dat kun je idd zo zien. Maar als web developer weet ik dat er niet een browser is die alles goed doet. Chrome heeft zo zijn eigenaardigheden, Firefox heeft die ook en ook Opera. Allemaal doen ze zaken "verkeerd" (niet alles is perfect en fooiproof omschreven in de standaard). Er zijn 2 approaches die je kunt nemen met betrekking tot zaken die je niet perfect implementeerd. 1) fixen en zorgen dat het beter volgens de standaard functioneert met het gevaar dat je niet meer volledig backwards compatible bent met jezelf of 2) zorgen dat het niet crasht maar wel backwards compatible blijven met de huidige major versie. Microsoft lijkt in (vrijwel) alle gevallen voor de 2e optie te kiezen.

[Reactie gewijzigd door HerrPino op 18 september 2012 07:00]

Microsoft waagt zich niet snel aan zaken die nog niet standaard zijn.
Je bedoeld dat ze zelf maar wat verzinnen?
Ik snap je punt niet. Dat browser al HTML5 beginnen te ondersteunen, zelfs terwijl het nog in draft is, betekend niet dat je je website dan ook maar in HTML 5 moet opleveren. HTML4 of XHTML worden nog steeds ondersteund door die browsers en gezien die standaarden wel definitief zijn zal daar niet zo veel in wijzigen in de browsers.

Snap ook niet waarom blouweKip naar beneden gemod wordt. Het mag dan wel zo zijn dat MS, de laatste jaren onder hevige druk van Neelie Kroes de EU in ieder geval de schijn probeert te wekken dat het niet meer zo is, maar het bedrijfsmodel is er in ieder geval jarenlang op gebaseerd geweest (en mijn vertrouwen hebben ze nog lang niet terug gewonnen - pak office 365 sharepoint en probeer met een standaard WebDAV complaint client te verbinden = epic fail, maar toch noemen ze het WebDAV ipv MS-Raped-WebDAV of een willekeurige andere verzameling van letters die niet gelijk is aan WebDAV en zelfs maar de schijn wekt dat het geen standards compliant WebDAV implementatie is).
Om te internetten gebruik ik een firefox..
om intranet sites te benaderen gebruik ik explorer, omdat intranet sites vaak achterlopen.
omdat er vaak van die berichten komen dat de fbi, cia en collega's een verzoek plaatsen om een backdoor te plaatsen in soft- of hardware.
dit draagt dan weer bij voor deze opmerkingen.

en tbh niet al te gek om die organisaties ook in de gaten houden
Who watch the watchmen ;)
omdat er vaak van die berichten komen dat de fbi, cia en collega's een verzoek plaatsen om een backdoor te plaatsen in soft- of hardware.
Ik heb nog nooit een dergelijk bericht van enigerlei serieuze bron langs zien komen.
Er zijn toch wel een aantal zaken bekend waarbij de NSA betrokken is (geweest):
http://news.cnet.com/8301-31921_3-20025767-281.html
http://www.wired.com/poli...7/11/securitymatters_1115

[Reactie gewijzigd door basvd op 17 september 2012 12:23]

Ook dat is een zaak waarbij geen enkel bewijs is opgedoken dat er na onderzoek ook maar sprake was van opzetteljk aanpassingen in de (open source) code in opdracht van een beveiligingsdienst.

Het blijft dus een urban myth
Nou nou, zo onrealistisch is het nou ook weer niet.
Kan jij uitsluiten dat een Microsoft programmeur een zak geld heeft gekregen om per ongeluk wat "foutjes" in zijn code te stoppen?
Alles en iedereen vertrouwen kan ook schadelijk zijn.
Het is toch wel algemeen bekend dat Windows het kwetsbaarste platform is voor malware, het zou mij niet verbazen als een paar van die bugs opzettelijk zijn gedaan, ik sluit het in ieder geval niet uit.
En nee, ik heb geen aluminium-hoedje, moet ik nog ergens kopen. ;)
Kan jij uitsluiten dat een Microsoft programmeur een zak geld heeft gekregen om per ongeluk wat "foutjes" in zijn code te stoppen?
Nee maar het lijkt me zer onwaarschijnlijk ivm een risico op ontdekking

Dan nog is omkoping van een programmeur dat heel wat anders dan de suggestie dat Micrsoft opzettelijk fouten in de code zxzou laten zitten als ze daarvan weten.
Alles en iedereen vertrouwen kan ook schadelijk zijn.
Achter elke boom een beer zien is ook niet gezond voor je.

Kun jij immers uitsluiten dat dat voor Android ook niet geldt? Het is immers het populairste mobiele platform op het moment.
En iOS, ook behoorlijk populair.

Daar zit natuurlijk nooit 1 programmeur achter. Er wordt namelijk ook nog weleens getest en dat wordt echt niet alleen door die ene programmeur gedaan.
En nee, ik heb geen aluminium-hoedje, moet ik nog ergens kopen
Hulpmiddelen zijn niet nodig, je bent een natuurtalent.
Mja, want van al die exploits/bugs in de afgelopen 10 tallen jaren is nagegaan of ze opzettelijk gemaakt waren. En dat kan ook, want als je dat netjes komt vragen - anno 2012 we hebben niks te verbergen - krijg je natuurlijk eerlijk antwoord.

"Ja, ik heb die overflow er opzettelijk ingezet, want daar kreeg ik 10 miljoen voor en de belofte dat ik op onverklaarbare wijze zou verdwijnen als ik er ooit iets over zei."

Per definitie roepen dat iets niet zo is, is wellicht nog wel dommer dan het alu hoedje uit lopen hangen.

Ik bekijk jouw geloof op de correcte werking van het onderzoek of het opzettelijk was (als er uberhaupt al onderzoek naar gedaan wordt - wat ik ten zeerste betwijfel) met dezelfde argusogen als het alu hoedjes verhaal iig. Niet dat het wat uitmaakt, want ik zal nooit bij machtte zijn om welk van die stellingen dan ook te verifieren.
Per definitie roepen dat iets niet zo is, is wellicht nog wel dommer dan het alu hoedje uit lopen hangen.
Ik heb nergens gezegd dat de stelling van Soldaatje per definitie onwaar is.
Maar iets roepen zonder gefundeerd bewijs, of sterke aanwijzingen, maakt het nog niet waar of aannemelijk.
Als het aannemelijk is dat Microsoft, of iemand bij Microsoft, iets dergelijks in zou bouwen dan is dat net zo aannemelijk voor Android, iOS of noem maar op.
Dan kunnen we hier een enorm lange lijst opstellen met beweringen die allemaal waar zouden kunnen zijn. En iedereen die roept dat het 'per definitie' niet waar is kunnen we dan dom noemen.
Ik bekijk jouw geloof op de correcte werking .. met dezelfde argusogen
Ik heb niet per se een geloof in een correcte werking, dat beweer ik ook nergens, ik ben alleen zeer sceptisch wanneer iemand een uitspraak doet zonder enkel bewijs of een onderzoek zoals jij stelt. Dan kan ik namelijk ook zomaar wat gaan roepen zoals over Android of iOS, is dat dan net zo waar? Roddelbladen werken op dezeldfe wijze, zolang het tegendeel niet bewezen is, is het waar en dus correct op te schrijven.
Ik heb het ook niet over een onderzoek gehad volgens mij.

Soldaatje stelt dat het mogelijk is dat een zelfstandige programmeur een backdoor in kan bouwen zonder dat andere programmeurs/testers daar achterkomen.
Dat vind ik persoonlijk niet zo aannemelijk, maar blijkbaar verschillen we daarin van mening en ben ik dom om dat zo te stellen.

[Reactie gewijzigd door Vexxon op 17 september 2012 17:22]

Alle OS'en zijn even kwetsbaar, maar aangezien het meerdere overgrote deel windows gebruikt is het aantrekkelijker om dez aan te vallen (daarnaast zijn het dezelfde ingoramus gebruikers als dat je op apple vind).

Wat dit duidelijk onderbouwd is het feit dat apple ooit geen target was, maar sinds heteen mainstream product is geworden zijn zij tegenwoordig ook niet veilig meer!

http://www.gfi.com/blog/t...and-applications-in-2011/

http://en.wikipedia.org/wiki/Comparison_of_operating_systems

Er is nog meer als dit, maar ik zal je er niet mee lastig vallen aangezien je al meningen vanuit niks vormd.
Op dezelfde manier worden roddels ook geboren. Men slingert een verhaal de wereld in, het wordt opgepikt, van tijd tot tijd wordt het een andere versie en zie daar; de roddel is gecreëerd. Men wilt graag horen wat men horen wilt en al het andere pikt men niet op.
het is eerder andersom... ook bv inlichtingendiensten behoren tot de doelgroep/afnemers voor groepen die zero-day exploits 'verkopen'.
zulke dingen zijn veel geld waard.

maar evengoed worden die verkocht aan private 'spionage'-diensten (bv bedrijfsspionage) of criminele groepen die bv banking trojans verspreiden.

het is gewoon een vraag wie het meeste bied
In dit soort gevallen zitten er eerder bewuste backdoors in, dan een toevallige "exploit".

En dat is geen onzin zoals sommige schrijven. Ik heb bv zelf meegemaakt dat Israël wat "extra functionaliteit" wilde hebben om e.e.a. in gaten te kunnen houden.
Des te meer reden om een veiligere browser te gaan gebruiken, zeker als je nog altijd XP draait. Al heb ik het vermoeden das MS hier niet per se wakker om ligt, omdat het "oude" versies betreft.
Mwah... Denk het wel. het is wel hun naam die weer te grabbel ligt. Dus ik verwacht dat ze hier snel wat op verzinnen.
Het mogen dan wel "oudere" versies zijn, maar vooral bij veel bedrijven zullen deze nog wel redelijk veel gebruikt worden ( ook hier bij mij op kantoor ) dus hopelijk pakken ze dit wel op korte termijn op.
IE8 is de nieuwste IE versie die je op WinXP kan gebruiken.
Aangezien de support van MS op winXP nog tot 8 April 2014 loopt, moet IE8 in mijn ogen minimaal ook tot die datum support krijgen.
"oude versies" vind ik in dit geval dus beetje kort door de bocht...
(los daarvan is het natuurlijk altijd handig om een veiligere browser te gebruiken)

[Reactie gewijzigd door patje143 op 17 september 2012 11:58]

Als je naar het filmpje kijkt, dan zie je dat het gewoon een lek in Flash is, en niet in IE. Dus ik denk niet dat Microsoft hier een fix voor hoeft uit te brengen.

Ik vermoed dat deze zelfde exploit door anders browsers niet kan doordat plug-ins daar minder rechten hebben.
Tenzij ik het filmpje mis, lijkt het er verder niet op dat de executabel uitgevoerd wordt.

Maar corrigeer me als ik me vergis, want anders is het ook een lek in IE8/XP. Immers downloaden is één, executeren buiten de sandbox is twee.

Merk verder op dat virusscanners uit stonden.

Om deze aanval tegen te houden, is slechts één van deze drie zaken nodig (Flash gefixt, IE8 gefixt/niet kwetsbaar of virusscanner die exe tegenhoudt).

Ikzelf heb inmiddels Java en Flash en Adobe reader plugin al lang gedeinstaleerd van al mijn PC's. Zo goed als alle hacks komen tegenwoordig via een van deze 3 plugins.
Het is lastig om in deze context van 'veiligere browser' te spreken, gezien het om een zero day exploit gaat (zover ik kan zien een combi van Flash en IE7/8?). Iedere browser is in potentie vatbaar voor dit soort dingen, en als je al een schuldige zou willen aanwijzen, qua veiligheid, is het Windows dat de 'gedropte' exe rücksichtslos uit gaat voeren...
ook de andere browsers zijn op dit gebied niet veilig, ook daarvoor worden, net zoals bij ie, ook zeroday beveiligingsbugs gevonden... dus als je denkt dat je ook 100% veilig bent op bv chrome, dan ben je heel HEEL erg naief...
Damn, ik moet weer eens bij Pa en Ma op de koffie.

(Want die hebben een XP machientje met IE)
Soms heb je van die eigen wijze ouders die geen firefox of chrome willen, heeft me een half jaar gekost om me pa over te laten gaan naar firefox, chrome was nog erger als vloeken in de kerk
Laat ze lekker IE gebruiken, doe ik ook. Het maakt geen verschil. FF zit bij een beetje noob net zo goed binnen de korste keren vol met toolbars en ander malware-achtig spul.
Gewoon af en toe de c-partitie terugklonen vanaf je usb-disk. Ben je in een keer van alle mogelijke ellende af. Op die manier is XP nog prima bruikbaar. Zoiezo vind ik de onveiligheid en instabiliteit nog redelijk meevallen. Het is wel merkbaar dat MS je eraf probeert te pesten.

[Reactie gewijzigd door blorf op 17 september 2012 14:55]

Ik snap het niet helemaal.
In het filmpje heeft men het continue over flash, en dat dit mogelijk is met de laatste flash versie.

Als de exploit in flash zit, wat heeft dit dan met IE te maken??
misschien de toegankelijkheid van oudere ie browsers?
Volgens mij is het ook idd een combinatie tussen IE7/8 en Flash, en moet eigenlijk Adobe gewoon weer eens een fix uit brengen.
Dus ja, een IE7/8 gebruiker is hier kwetsbaar voor. Is het een lek in IE? Nee, het is een lek in Macromedia. Maar alleen uitvoerbaar met IE7/8 omdat de plug-in daar meer rechten heeft...

We hebben allemaal een hekel aan IE (net name web-devers), maar dit is geen IE bug als je het mij vraagt.

Tevens, zie ik toch echt in dit filmpje dat XP zegt dat er nog updates beschikbaar zijn, dus up-to-date is die machine zeker niet !!
Het is idd een exploit in Flash. Echter had Microsoft toch wel iedere plug-in in een sandbox mogen laten draaien. Wat dat betreft vind ik het ook een fout in het plug-in architectuur van IE.
Romang plaatste een video waarin hij laat zien hoe een volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden.
Ik zie in het filmpje toch echt dat de XP versie aangeeft updates te hebben, een beveiliging waarschuwing weergeeft en dat de anti virus niet up-to-date is dan wel uit staat.
Inderdaad viel mij ook al op.
Daarnaast vraag ik mij af of dit is gedaan met een lokale administrator account of met een standaard gebruikersaccount.
Windows is namelijk mits goed geconfigureerd best veilig en een groot gedeelte van de bekende exploits functioneren niet zodra je werkt met een echt gebruikersaccount (zoals bij Linux de standaard is.)
De grootste problemen van Windows worden veroorzaakt door onkunde van gebruikers en beheerders, ik ben wel benieuwd wat er gebeurt wanneer de "handige" Windows beheerders in de toekomst een ander OS gaan beheren. Linux dwingt geluk het gebruik van een non root account in de meeste gevallen af, Microsoft zou dit ook gewoon moeten doen.
Mwah, wat er dan gebeurt is dat die sysadmins alles als root gaan draaien :p
Niet zo opgelet de laatste jaren? Vanaf Windows Vista dwingt Microsoft ook gewoon af dat je op een non-root account werkt.

Het zogenaamde administrator account in Vista is gewoon een non-root account. Het enige verschil tussen normale user en administrator, is dat de normale user de username en password daadwerkelijk moet intikken, en bij admin dat voor je gedaan is, en je alleen op OK hoeft te drukken. Echter, in beide gevallen moet de user dus actief reageren, om op die manier de security level tijdelijke te verhogen naar root. Een niet-interactief (malware) programma blijft gewoon op non-root level steken.

[Reactie gewijzigd door AHBdV op 17 september 2012 13:53]

Vaak wordt de UAC uitgezet en zo niet dan drukken veel eindgebruikers altijd op OK, omdat ze niet weten wanneer het wel of niet nodig is. Bij een Java update welke opeens opduikt wel op OK moet drukken en bij het bezoeken van een internet pagina niet is vaak niet uit te leggen.
Zover de theorie.............
Praktijk heb ik al wat anders meegemaakt met vista en win 7
zoals hitman pro die ondanks geen prompt gewoon in het hosts-bestand kon schrijven ed........

UAC verlaagd de rechten van de admin-gebruiker ipv het verhogen wat sudo doet.
Wat een veel grotere kans op bugs geeft.

[Reactie gewijzigd door hackerhater op 17 september 2012 14:54]

Niets nieuws toch? Als je een oude browserversie draait, dan loop je gevaar voor exploits.
Gewoon geen oude browserversie draaien.
Zo oud is IE8 nog niet eens.
En bovendien, IE9 kan je niet gebruiken op XP
De titel zegt actief misbruik maar ik lees ik nergens dat er in het wild al aanvallen mee zijn uitgevoerd.

Dus effectief klopt de titel niet.
In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploit bleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.
Het resultaat van het gebruik is wel gevonden, er zijn dus wel degelijk aanvallen uitgevoerd.
Dat hoeft geen resultaat te zijn van misbruik maar kunnen ook bestanden zijn van een developer die nieuwe malware aan het ontwikkelen is.
En daarom heet het een 0-day exploit ;)
Lekken zullen er altijd gevonden blijven worden. Zolang mensen het maar blijven melden kan misbruik op tijd tegen worden gegaan. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben (op de man die in dit artikel beschreven staat na dan natuurlijk)

Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen. Hoewel de mensen die dit soort lekken misbruiken er natuurlijk vaak allang van afweten. Lekker dat er ook al bekend is dat de exploit bij de eerstvolgende hackerstoolkit al beschikbaar is 8)7 ...
. Waar ik eigenlijk benieuwd naar ben is of er ook voorbeelden zijn van hackers die deze exploit al misbruikt hebben
Dat lijkt wel waarschijnlijk Unflux in 'nieuws: 'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt''

Erg grappig trouwens dat een stel hackers hun eigen server kennelijk niet goed beveiligt.

[Reactie gewijzigd door Ook al Bezet op 17 september 2012 13:31]

de Hackers worden gehack, waar gaat het heen met deze wereld ;)
Wat ik mij altijd afvraag is of het wel verstandig is om zoiets zo openlijk in de media te brengen.
Dat geeft juist meer druk bij de verantwoordelijke partijen om deze te dichten.

Ikzelf zit vaker op IRC met hackers te praten en deze exploit wordt al enige tijd aangeboden (tegen betaling), ik meen dat ik er vorige maand voor het eerst over gehoord heb.

Natuurlijk is daarna stap 2, (nadat het wat geld heeft opgeleverd) dat Metasploit deze opneemt in hun exploit-database. En dan komt stap 3 (meestal niet veel later), dat de exploit ook daadwerkelijk opgenomen wordt in de Metasploit-tool.

Dus zo gek dat het nu in de media komt is het niet, en ik vind het juist goed dat hier veel media aandacht voor komt en juist niet alleen in de underground-scene bekend blijft. Zo komt er meestal sneller een patch.

[Reactie gewijzigd door defixje op 17 september 2012 13:05]

Wel jammer dat er niet in het artikel vermeld wordt dat ook Flash nodig is om dit te laten werken.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013